bcrypt パスワードハッシュジェネレーター

Blog

bcrypt パスワードハッシュジェネレーター

BlogCheatsheets
Loading...
Loading Bcrypt...

説明

コストファクターを調整可能なパスワード用の安全なBcryptハッシュを生成。アプリケーションでの安全なパスワード保存に最適。

概要: bcrypt パスワードハッシュジェネレーター

bcrypt ジェネレーターは、調整可能なコストファクターを使って、bcrypt アルゴリズムでパスワードをブラウザー内でハッシュ化します。bcrypt は意図的に低速で、すべてのハッシュに自動的にソルトを付けるため、大規模な総当たり攻撃にコストがかかります。これはパスワードを保存する際にまさに望ましい性質です。テストユーザーの初期データ作成、アプリケーションの設定確認、コストがハッシュ化時間にどう影響するかの学習のためにハッシュを生成できます。

使い方

  1. ハッシュ化したいパスワードを入力欄に入力します。
  2. コストファクター(作業係数)を選択します。値が高いほど低速になり、総当たり攻撃に強くなります。
  3. 埋め込まれたソルトを含む bcrypt ハッシュが生成されます。
  4. ハッシュをコピーします。bcrypt の形式はコストとソルトを格納するため、別のソルト列は不要です。

よくある質問

どのコストファクターを使うべきですか?

ログイン遅延として許容できる最も高い値を選んでください。現在は一般的に 10〜12 です。1 増えるごとに作業量が倍になるため、コスト 12 はコスト 11 の 2 倍の遅さになります。

なぜ同じパスワードでも毎回異なるハッシュが生成されるのですか?

bcrypt はハッシュごとにランダムなソルトを生成し、それを出力に埋め込みます。ソルトが異なれば、同じパスワードでもハッシュは異なります。これがまさに狙いです。検証時には、保存されたハッシュからソルトが再導出されます。

ソルトを別途保存する必要がありますか?

いいえ。ソルトとコストは bcrypt ハッシュ文字列自体($2b$… のプレフィックス)に含まれるため、単一のハッシュ値を保存するだけで後から検証できます。

bcrypt は今でも推奨されますか?

はい。bcrypt は今でも堅実で広くサポートされた選択肢です。Argon2 や scrypt も強力な現代的選択肢です。重要な原則は、SHA-256 のような高速な汎用ハッシュではなく、低速でソルト付きの、パスワード専用に設計されたハッシュを使うことです。